本帖最后由 dad9 于 2014-4-14 22:56 编辑
昨天表哥找我,说有一个游戏的脚本辅助DLL,挺好用,就是会在图里发频道消息宣传自己的脚本,希望我帮他修改掉,能不要发宣传消息. 就是这个TenSS.dll 类似于TP启动后会自动调用 直接替换掉原本的就能实现注入游戏,有一段时间DXF也是这样子注入的,师出同门,这个DLL也是某公司QX三国. 首先我考虑这个DLL有没有加密,如果进行过加密操作.直接OD修改就不行,只能动态修改,查壳软件查一下 没壳的,OK 直接拉进OD看一下,它进去频道开启功能后会发送 "爱三国...." OD里直接搜索 找不到 发送的字符串 然后我 考虑 是不是 通过网络获取的 开启 SRSniffer 进行抓包
抓包显示 并不存在网络获取 也就是说它的字符肯定在DLL中 但是找不到 OK 如果搜索字符串搜索不到 那么 先运行起来然后等 辅助界面出现 他会出现 打开CE搜索器 在游戏进程中 搜索 字符串"爱三国/23"
经过测试 显示是0BFB8DC8 因为完整的字符串是/e 开始 所以 字符串起始地址是0BFB8DC0 所以肯定有一个地址存放这个指针 那么我们搜索0BFB8DC0 得到一个地址 ,也就是说 每次辅助 发送频道消息的时候肯定是访问了这个地址 那我们查找访问过该地址的内存 然后再次开启功能
拦截到一个地址 接下来我们OD 过去看看 也就是说这条访问了,那么假设 这个程序段 就是为了发送消息 那是不是 直接retn掉 就可以 组织发消息 到程序断末尾 看到retn 8 直接卸载程序开头 测试 开启功能 已经不会再发送公屏消息. 虽然没有搞懂 他是怎么躲过OD的字符串搜索 ,但是能实现功能就好了
谁知道这个辅助是什么隐藏字符串躲过OD的 ... by:sk | 
发表于 2014-4-14 22:50
|
发表于 2014-4-16 10:55
